IAM-Bedingungen hinzufügen

Mit IAM Conditions können Sie eine bedingte, attributbasierte Zugriffssteuerung für Google Cloud-Ressourcen einschließlich Apigee Integration-Ressourcen definieren und erzwingen. Weitere Informationen zu IAM Conditions finden Sie in der Übersicht über IAM Conditions.

In Apigee Integration können Sie den bedingten Zugriff anhand der folgenden Attribute erzwingen:

  • Datum/Uhrzeit-Attribute: Verwenden Sie diese Option, um den temporären (ablaufenden), geplanten oder zeitlich begrenzten Zugriff auf Apigee Integration-Ressourcen festzulegen. Beispielsweise können Sie einem Nutzer bis zu einem bestimmten Datum Zugriff auf eine Integration gewähren. Weitere Informationen finden Sie unter Temporären Zugriff konfigurieren.
  • Ressourcenattribute: Verwenden Sie diese Option, um den bedingten Zugriff basierend auf einem Ressourcennamen, einem Ressourcentyp oder Ressourcendienstattributen zu konfigurieren. Beispielsweise können Sie einem Nutzer die Verwaltung von Integrationen erlauben, die in einer bestimmten Region erstellt werden. Eine Liste der unterstützten Werte. Weitere Informationen finden Sie unter Ressourcenbasierten Zugriff konfigurieren.

IAM-Bedingung hinzufügen

Führen Sie die folgenden Schritte aus, um einem vorhandenen Hauptkonto (Nutzer, Gruppe oder Dienstkonto) eine IAM-Bedingung hinzuzufügen:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Rufen Sie IAM auf.

  2. Wählen Sie Ihr Projekt, Ihren Ordner oder Ihre Organisation aus.
  3. Suchen Sie in der Liste der Hauptkonten nach dem Hauptkonto, für das Sie die IAM-Bedingung hinzufügen möchten, und klicken Sie auf (Hauptkonto bearbeiten).

    Der Bereich Zugriff bearbeiten wird angezeigt.

  4. Suchen Sie die Rolle, der Sie die IAM-Bedingung hinzufügen möchten, und klicken Sie auf + IAM-Bedingung hinzufügen.
  5. Geben Sie im Bereich Bedingung hinzufügen die folgenden Informationen an:
    1. Titel: Geben Sie einen Namen für die Bedingung ein, die Sie der Rolle hinzufügen.
    2. Beschreibung: (Optional) Geben Sie eine Beschreibung für die Bedingung ein.
    3. Sie können einen Bedingungsausdruck entweder mit dem Builder für IAM-Bedingungen oder dem Bedingungseditor hinzufügen.

      Der Builder für IAM-Bedingungen bietet eine interaktive Oberfläche, in der Sie die gewünschte Bedingung, den Operator und andere anwendbare Details zum Ausdruck auswählen können. Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Bedingungsausdrucks mit der CEL-Syntax.

      Eine ausführliche Anleitung zur Verwendung des Builder für IAM-Bedingungen oder des Bedingungseditors finden Sie unter Ressourcenbasierten Zugriff konfigurieren.

    4. Klicken Sie auf Speichern, um die Bedingung anzuwenden.

      5. Informationen zu den unterstützten Ressourcenattributen für die Apigee-Integration finden Sie unter Werte von Ressourcenattributen.

  6. Klicken Sie im Bereich Zugriff bearbeiten noch einmal auf Speichern, um das Hauptkonto zu aktualisieren.

Ressourcenattributwerte

In der folgenden Tabelle sind die Werte aufgeführt, die das Attribut „Ressourcentyp“ für Apigee Integration enthalten kann:

Ressourcenname Ressourcentyp Referenz
Standort SERVICE_ENDPOINT-integrations.googleapis.com/Location API-Referenz
Integration SERVICE_ENDPOINT-integrations.googleapis.com/Integration API-Referenz
IntegrationVersion SERVICE_ENDPOINT-integrations.googleapis.com/IntegrationVersion API-Referenz
Umsetzung SERVICE_ENDPOINT-integrations.googleapis.com/Execution API-Referenz
Sperrung SERVICE_ENDPOINT-integrations.googleapis.com/Suspension API-Referenz
AuthConfig SERVICE_ENDPOINT-integrations.googleapis.com/AuthConfig API-Referenz

Beispiele für die Verwendung von IAM Conditions für Apigee Integration

Beispiel 1: Zugriff auf eine beliebige IntegrationVersion-Ressource in einer Region beschränken

Mit dem folgenden Bedingungsausdruck im Bedingungseditor können Sie den Zugriff auf die Ressource IntegrationVersion beschränken. Das Beschränken des Zugriffs umfasst das Einschränken von create-, delete-, download-, get-, list-, patch-, publish-, unpublish- und upload-Vorgängen in den Integrationsversionen in der Region.

!resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/products/apigee/integrations/INTEGRATION_NAME")

Ersetzen Sie Folgendes:

Beispiel 2: Zugriff auf jede IntegrationVersion-Ressource in einer Region gewähren

Sie können den folgenden Bedingungsausdruck im Bedingungseditor verwenden, um den Zugriff auf die IntegrationVersion-Ressource zu ermöglichen:

resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/products/apigee/integrations/INTEGRATION_NAME") || resource.type == "cloudresourcemanager.googleapis.com/Project")

Ersetzen Sie Folgendes:

Beispiel 3: Zugriff auf eine bestimmte AuthConfig-Ressource gewähren

Sie können den folgenden Bedingungsausdruck im Bedingungseditor verwenden, um den Zugriff auf eine bestimmte AuthConfig-Ressource zu ermöglichen:

(resource.name.extract("authConfigs/{end}" == "AUTH_CONFIG_NAME") || resource.type == "integrations.googleapis.com/Location" || resource.type == "cloudresourcemanager.googleapis.com/Project")

Ersetzen Sie Folgendes:

  • AUTH_CONFIG_NAME: Der Name des Authentifizierungstyps. Weitere Informationen finden Sie unter Authentifizierungstypen.

Beispiel 4: Zugriff auf alle AuthConfig-Ressourcen in einer Region zulassen

Sie können den folgenden Bedingungsausdruck im Bedingungseditor verwenden, um den Zugriff auf jede AuthConfig-Ressource zu ermöglichen:

(resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/products/apigee") && resource.type == "integrations.googleapis.com/AuthConfig" || resource.type == "integrations.googleapis.com/Location" || resource.type == "cloudresourcemanager.googleapis.com/Project")

Ersetzen Sie Folgendes: